中国個人情報保護法Q&A(第3回)
中国個人情報保護法Q&A(第3回)についてニュースレターを発行いたしました。
PDF版は以下からご確認ください。
2022 年1月11日
One Asia Lawyers中国大湾区プラクティスチーム
中国個人情報保護法Q&A(第3回)
2022年春、弊所からは、本稿及びシンガポール個人情報保護法に関する内容を含む、アジア・インド・オセアニア各国における個人情報保護法制を幅広くカバーしたQ&A形式の書籍「アジアの個人情報保護法(仮)」を中央経済社様より出版予定となっております。本NL記事と併せ、是非ともお手に取っていただき、ご参考いただければ幸いと考えております。
本稿執筆の背景については、第1回記事の冒頭をご参照ください。
Q:個人情報保護法の適用が免除される個人・法人等があるのであれば,教えてください。政府関係の機関(公立学校,公立病院)や政府系企業が保有する個人情報の取扱いに関しても個人情報保護法が適用されるのですか。
「個人情報保護法」上,同法3条の規定する活動を行っているにも関わらず同法の適用を免除されるような類型の個人・法人は存在しない。但し,「個人情報保護法」72条では,「自然人が個人的な,または家庭にかかわる都合で個人情報を取り扱う場合には,本法を適用しない。」と規定され,これが唯一の適用外の規定となっている。
国家機関については,「個人情報保護法」2章3節に単独で「国家機関の個人情報取扱いの特別規定」の章節が設けられている。本章節は,国家機関が個人情報を取扱う際にも「個人情報保護法」が適用されることを明確にすると同時に,次のような,国家機関に対する特別規定も規定している。
1.個人情報を法定手続きに従って取扱わなければならず,かつ,その取扱いが法定職責に必須の範囲と限度を超えてはならない。(34条)
「個人情報保護法」34条は,「国家機関が法定職責を履行するため個人情報を取扱うとき,法律・行政法規の規定する権限・手続きに従わなければならず,法定職責の履行に必要な範囲と限度を超えてはならない。」と規定した。つまり,国家機関が法定職責に必須の範囲と限度を超えて個人情報を取扱うとき,たとえ「通知・同意」のステップを履行していても,違法な取扱いとなる可能性がある。
2.第18条の状況のほか,個人に対する通知が国家機関の法定職責の履行の妨げとなる場合には,通知義務を履行しなくてよい。(35条)「個人情報保護法」35条は,国家機関も通知義務を履行すべきことを明確にしたが,通知義務を行使する必要のない状況も列記している。「個人情報保護法」
(1)18条1項の状況があるとき。すなわち,「法律,行政法規に秘密を保持するものと定められており,又は通知する必要がない」とき,通知義務を履行しなくても良いとされている。なお,この条項の適用は国家機関に限定されない。
(2)通知することで国家機関の法定職責の履行の妨げとなるとき。これは,国家機関が通知義務を履行しなくてもよい特別な事由であり,刑事事件の捜査過程での個人情報の収集・使用等が典型的な適用例である。
3.国家機関が取扱う個人情報は,中国国内に保存しなければならない。(36条)
4.個人情報を国外に提供する必要があるとき,安全評価を行わなければならない。(36条)
「個人情報保護法」38条は,個人情報処理者が国外に個人情報を提供する数種類の方法を規定しているが,その一つが、国家インターネット通信部門が手配する安全評価である(具体的には,次回以降の記事を参照されたい。)。これにより,国家機関は,40条の規定する重要情報インフラ運営者と個人情報の取扱いが国家インターネット通信部門の定める数量に達する個人情報処理者と同じく,安全評価を通過する方式のみにより国外に情報を提供することができる。
政府関係機関(公立学校,公立病院を含む)および国有企業について,「個人情報保護法」37条は,「法律,法規の授権する公共の事務を管理する職能を有する組織が法定の職責を履行するために個人情報を取扱う場合には,本法の国家機関の個人情報取扱いに関する規定を適用する。」と規定している。よって,公立学校,公立病院,国有企業等が特定の法律,法規の授権を経て公共の事務を管理する職能を有し,法定の職責の履行として個人情報を取扱うとき,「個人情報保護法」の原則規定が適用されるほか,前述の国家機関に対する特別規定も適用される。
Q:個人情報保護法に基づき,事業者が遵守すべき義務にはどのようなものがありますか。 その義務を履行したといえるためには,具体的にどのような手続きを行わなければならないのでしょうか。
1.概要
「個人情報保護法」は,第五章(51条から59条)を「個人情報処理者の義務」として,個人情報処理者の義務につき特に規定した。但し,本章のほかにも個人情報処理者の義務は,個人情報処理者の特定の取扱い行為の規定の中に散見される。
すなわち,「個人情報保護法」における個人情報処理者の義務は,おおむね三つの類型に分類することができる。一つ目の類型は,第五章に規定される「日常管理義務」であり,セキュリティ保護義務等すべての個人情報処理者が遵守すべき義務が含まれるとともに,特定の標準を満たす個人情報処理者が遵守すべき義務も含まれている。二つ目の類型は,「特定の行為に従事する際に課せられる義務」で,主に法定の行為に従事する前に,個人情報保護影響評価を行う義務である。三つ目の類型は,個人情報の収集,保存,使用等の取扱い行為において遵守すべき「特定処理行為の義務」である。「個人情報保護法」第五章に規定されているのは,前二つの類型の義務である。
類型ごとに整理した個人情報処理者の義務の概略を樹形図にすると,概ね以下のとおりとなる。
※樹形図はPDFをご覧ください。
本記事の他の質問において一部の義務が詳細に説明される予定であることに鑑み,本問では,一つ目及び二つ目の類型に関する義務のみ整理し,他の質問にて論じられている部分については,簡略的な紹介に留める。
2.日常管理義務(一般的義務)
(1)セキュリティ保護義務
個人情報を保護する第一の責任者として,個人情報処理者は,個人情報に対し必要なセキュリティ保護措置及び内部管理措置を講じる義務(本記事では「セキュリティ保護義務」と呼称する。)を負う。「個人情報保護法」51条は,個人情報処理者が講じるべき措置として,制度制定,分類管理,技術的措置,従業員管理,応急対応案等を列記している。詳細は,次回以降の記事を参照されたい。
(2)応急対応義務
セキュリティ保護義務が個人情報の漏洩,改竄,逸失等,個人情報セキュリティ事件の発生を未然に防止するための予防的義務であるならば,応急対応義務は,個人情報セキュリティ事件が発生した場合に,その発生中又は発生後に講じる保護義務である。この点,「個人情報保護法」27条によれば,個人情報の漏洩,改竄,逸失が発生した場合,個人情報処理者は主に二つの義務を負い,その一つ目は,救済措置を講じることであり,二つ目は通知義務を履行し,個人情報セキュリティ事件による損失を減少させることである。詳細は,次回以降の記事を参照されたい。
(3)定期的なコンプライアンス監査義務
「個人情報保護法」54条は,個人情報処理者に,個人情報の取扱いにかかる法律,行政法規の遵守状況について定期的なコンプライアンス監査を行うことを要求する。但し,「個人情報保護法」には原則的な条項が設けられたのみで,今後具体的な詳細を定めた細則が発布されることが予想される。
3.日常管理義務(特殊な要求を満たす個人情報処理者又は特殊な行為に従事する個人情報処理者の義務)
(1)個人情報保護責任者を設置する(取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者)
「個人情報保護法」52条は,取り扱う個人情報が国家インターネット情報部門の規定する数量に達する個人情報処理者は,個人情報保護責任者を指定するよう規定した。規定の数量に達する個人情報処理者は,個人情報保護責任者の連絡先を公開し,かつ,個人情報保護責任者の氏名,連絡先等を個人情報保護職責の履行部門に届出なければならない。但し,目下,国家インターネット情報部門は規定の数量につき明確な数を示す明文を発布していない。詳細は,次回以降の記事を参照されたい。
(2)専門機構又は指定代表の設置(国外機構)
「個人情報保護法」は国外においても効力を有し,国外機構が中国国内の個人情報を取扱う活動が指定の状況に合致する場合にも,「個人情報保護法」が適用される。中国国内の個人の個人情報に関わる権益を確実に保護するため,「個人情報保護法」は本法が適用される国外の個人情報処理者に,中華人民共和国国内に専門機構又は指定代表を設置し,個人情報保護に関連する事務を担わせ,かつ,関連機構の名称又は代表の氏名,連絡先等を個人情報保護職責の履行部門に届出ることを要求している。詳細は,次回以降の記事を参照されたい。
(3)大型インターネットプラットフォームの特殊な義務
「個人情報保護法」58条は専門の規定を設けて,重要インターネットプラットフォームサービスであり,ユーザー数が膨大であり,業務類型が複雑な個人情報処理者に対し,以下の義務を履行するよう規定した。
①国の規定に基づき個人情報保護コンプライアンス制度体系を構築・健全化し,主に外部の人員から構成される独立機構を設置し,個人情報保護を監督させる。
②公開,公平,公正の原則を遵守し,プラットフォーム規則を制定し,プラットフォーム内の商品又はサービス提供者の個人情報取扱いの規範と個人情報保護の義務を明確にする。
③法律,行政法規に重大な違反をして個人情報を取扱うプラットフォーム内の商品又はサービス提供者に対し,サービスの提供を停止する。
④個人情報保護の社会責任報告を定期的に発行し,社会的監督を受ける。
この点に関し,市場監督管理総局は2021年10月29日に「インターネットプラットフォーム分類分級ガイドライン(意見募集稿)」及び「インターネットプラットフォームの主体責任実現ガイドライン(意見募集稿)」を公表した。これらのガイドラインは,大型インターネットプラットフォーム認定の参考になり得ると考えられる。
4.特定の取扱い行為に従事する前の義務 個人情報保護への影響評価
(1)定義
「個人情報保護法」が発布される以前には,「個人情報安全規範」及び「情報安全技術個人情報安全影響評価指南」(GB/T 39335-2020,以下「個人情報安全影響評価指南」という。)において,個人情報安全影響評価[1]に対する要求が提起されていた。そして,「個人情報保護法」は,55条と56条において,初めて法律レベルで個人情報保護影響評価の義務を明確にした。
なお,「個人情報保護法」は,個人情報保護影響評価が適用される状況と内容について直接規定しているものの,個人情報保護影響評価の定義は示していない。これに対し,「個人情報安全影響評価指南」3.4条は,個人情報安全影響評価を定義しており,これに基づくと,個人情報保護影響評価とは,「個人情報を取扱う活動について,その適法性,コンプライアンス性を検査し,その個人情報主体の合法的な権益を損ねる各種リスクを判断し,個人情報主体を保護する各種措置の有効性を評価する過程」であると理解すべきである。
(2)適用される取扱い行為
「個人情報保護法」は,個人情報処理者に以下に掲げる状況のひとつがあるとき,事前に個人情報保護影響評価を行い,かつ,取扱い状況を記録しなければならないと規定している。個人情報保護影響評価報告と取扱い状況の記録は,少なくとも三年間保管しなければならない。
①敏感個人情報を取扱う場合
②個人情報を利用して自動化された意思決定を行う場合
③個人情報の取扱いを委託し,その他の個人情報処理者に個人情報を提供し,又は個人情報を公開する場合
④国外に個人情報を提供する場合
⑤その他個人の権益に重大な影響を与える個人情報の取扱い
このうち,“⑤その他個人の権益に重大な影響を与える個人情報の取扱い”の具体的な内容については,「個人情報安全規範」11.4条に規定された個人情報安全評価の義務を負う状況を参考にすることができる。すなわち,同条のc)は,「製品又はサービスを発布する前,又は業務に重大な変化が生じるとき」,d)は,「法律法規に新たな要求があるとき,又は業務モデル,情報システム,運用環境に重大な変更が発生したとき,又は重大な個人情報安全事件が発生したとき」に安全評価を行うべきとされている。
(3)評価内容
「個人情報保護法」56条は,個人情報保護影響評価は以下を含むものと規定している。
①個人情報の取扱い目的,取扱い方式等が合法,正当,必要であるか否か
②個人権益への影響とセキュリティリスクの有無
③採られた保護措置が合法,有効であるか,リスク程度に適するか否か
個人情報保護への影響評価の具体的な内容については,個人情報保護に対する影響評価に関する法律法規が発布されるまでは,「個人情報保護法」と「個人情報安全影響評価指南」等の国家標凖を参考にすることができる。
[1]「個人情報安全規範」及び「個人情報安全影響評価指南」の中で用いられるのは“個人情報安全影響評価”であり,「個人情報保護法」にて規定されるのは“個人情報保護影響評価”で,表現は一致していないが,主旨は同じである。
以上
本記事やご相談に関するご照会は以下までお願い致します。
